選擇是否要在自己的專用樹系或現有防禦樹系中安裝 HGS

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

HGS 的 Active Directory 樹系很敏感，因為其系統管理員可以存取控制受防護 VM 的金鑰。 預設安裝會設定專用於 HGS 的新樹系，並設定其他相依性。 建議使用此選項，因為環境是獨立式環境，且在建立環境時已知為安全。

在現有樹系中安裝 HGS 的唯一技術需求，就是將其新增至根域; 不支援非根域。 但也有使用現有樹系的操作需求和安全性相關最佳做法。 適當的樹系是專門建置來提供一個敏感性函式，例如 AD DS 的特殊權限存取管理所使用的樹系，或增強式安全性系統管理環境 (ESAE) 樹系。 這類樹系通常會表現出下列特性：

• 他們很少有系統管理員 (與網狀架構系統管理員分開)
• 登入次數低
• 它們本質上不是一般用途

生產樹系等一般用途樹系不適合 HGS 使用。 網狀架構樹系也不適合，因為 HGS 必須與網狀架構系統管理員隔離。

後續步驟

選擇最適合您環境的安裝選項：

• 在自己的專用樹系中安裝 HGS
• 在現有的防禦樹系中安裝 HGS